Beruflich Dokumente
Kultur Dokumente
Primera Captura
Al arrancar, es necesario seleccionar la tarjeta de red de nuestra máquina sobre la que
deseamos hacer capturas Esta será eth0 normalmente, así que seleccionaremos
"Capture" sobre esta interfaz de red.
1
La captura de paquetes comenzará y se mostrará una ventana en la que poco a poco irán
apareciendo diferentes estadísticas sobre los paquetes que progresivamente se van
capturando hasta que se pulse "detener". Seguramente registraremos tráfico de tipo
difusión (broadcast) y poco a poco veremos que se registra alguna actividad.
Para crear tráfico de red, es conveniente hacer alguna acción como arrancar un
navegador (Firefox o Mozilla en Linux), o dar un comando al sistema operativo que
genere actividad (ping www.google.es), conectarse a otra máquina o todas estas
acciones simultáneamente.
Ventana principal
Una vez tengamos algunos paquetes capturados, observemos qué sucede al detener el
proceso de captura:
Los paquetes capturados se muestran en la ventana principal de Wireshark. Esta se
compone a su vez de tres ventanas.
1. La ventana superior es la lista de los paquetes capturados. Incluye hora, fuente,
destino, protocolo y una descripción breve de cada uno. Según el paquete que esté
seleccionado en cada momento, se controla la información que aparece la ventana
intermedia.
2. La ventana intermedia muestra en detalle el paquete seleccionado en la primera
ventana. Incluye el nombre de los protocolos empleados en los distintos niveles de la
arquitectura y los valores correspondientes a los campos de cada uno de los protocolos
en listas desplegables.
3. La ventana inferior muestra el valor los datos del paquete en hexadecimal y ASCII.
Al seleccionar alguno de los campos en la ventana intermedia, se destaca el rango de
valores correspondientes a dicho campo en el paquete.
2
Además en la ventana principal de Wireshark tenemos:
Barra Principal: con acceso a opciones de captura, archivado e impresión,
movimiento y búsqueda de paquetes en la lista, zoom, aspecto de visualización,
filtrado y edición de preferencias. En esta barra se encuentra "iconizadas"
muchas de las opciones de los menús de la parte superior de la aplicación.
Barra de Filtro: muestra y permite especificar en el filtro aplicado a los
paquetes para visualización aunque también navega a la ventana de definición de
filtros de captura y visualización.
Barra de status: Al pié de las ventanas a la izquierda vemos el nombre del
fichero temporal donde se ha guardado la captura. A la derecha hay información
sobre los paquetes:
o P: número de paquetes capturados
o D: número de paquetes que se muestran (superan el filtro)
o M: número de paquetes marcados
3
Las opciones de captura nos llevan a una ventana en que podemos establecer parámetros
de captura: la ventana de diálogo "Capture Options". Las más relevantes son:
Marco de captura:
1. Selección de Interfaz
2. Modo promiscuo: en este modo el programa capturará cualquier paquete que sea
visible a la tarjeta de red, independientemente de si está o no destinado a ella. Si no
seleccionamos el modo promiscuo, solo se capturarán paquetes que van destinados a, o
que provienen de nuestra tarjeta de red.
3. Buffer Size: con el fin de limitar el uso de recursos, podemos indicar la cantidad
máxima de bytes que vamos a guardar de cada paquete capturado.
4
Filtros de Captura en Wireshark
Wireshark hace uso de libpcap para la definición de filtros. Su sintaxis consta de una
serie de expresiones conectadas por conjugaciones (and/or) con la opción de ser negada
por el operador not:
[not]Expresion[and|or[not]expresion ... ]
La siguiente expresión define un filtro para la captura de paquetes desde/hacia los host
con dirección IP 172.17.250.1 y 172.17.1.81:
5
La ventana Filter Expressions nos facilita la creación y modificación de filtros a nuestra
voluntad.